spring security密码校验过程整理(JWT) + 模拟登陆

最新推荐文章于 2024-10-08 18:33:57 发布
最新推荐文章于 2024-10-08 18:33:57 发布
阅读量1.4k 收藏 3
点赞数
文章标签: jwt 安全 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GuDuPanNiZhe/article/details/105839279
版权

前言

最近在整合security和jwt作为基础项目jar包,学无止境头发日渐稀疏

流程介绍

  1. 前端登录页面:输入用户名和密码 post 登录,其中密码用rsa 公钥加密
  2. 后端登录接口:
  • rsa私钥解密,获取密码明文
  • 实例化 UsernamePasswordAuthenticationToken 对象用于密码校验
    -调用 AbstractUserDetailsAuthenticationProvider.authenticate方法用于校验,对应方法在org.springframework.security.authentication.dao中(已精简)
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
       //从authentication中获取用户名
        String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        //缓存???好像是没有起作用,原因是没有配诸如 Ehcache
        UserDetails user = this.userCache.getUserFromCache(username);
        if (user == null) {
            cacheWasUsed = false;

            try {
            	//这里获取用户信息 参考下一段代码
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            } catch (UsernameNotFoundException var6) {
            }
        }

        try {
            this.preAuthenticationChecks.check(user);
            //校验密码
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        } catch (AuthenticationException var7) {
        }
        return this.createSuccessAuthentication(principalToReturn, authentication, user);
    }

 protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        this.prepareTimingAttackProtection();

        try {
        	//这里就是为什么要重写loadUserByUsername方法的原因
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            if (loadedUser == null) {
                throw new InternalAuthenticationServiceException("UserDetailsService returned null, which is an interface contract violation");
            } else {
                return loadedUser;
            }
        } catch (UsernameNotFoundException var4) {
            this.mitigateAgainstTimingAttack(authentication);
            throw var4;
        } catch (InternalAuthenticationServiceException var5) {
            throw var5;
        } catch (Exception var6) {
            throw new InternalAuthenticationServiceException(var6.getMessage(), var6);
        }
    }

	//检验密码
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            this.logger.debug("Authentication failed: no credentials provided");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        } else {
            String presentedPassword = authentication.getCredentials().toString();
            //passwordEncoder解码比较明文,其中 presentedPassword是明文,userDetails.getPassword()后者是数据库中获取的密文
            if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
                this.logger.debug("Authentication failed: password does not match stored value");
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }
        }
    }
  • 密码校验成功后,将授权认证信息放入到上下文中,同时根据认证信息生成令牌(JWT)
Authentication authentication = authenticationManagerBuilder.getObject().authenticate(authenticationToken);
SecurityContextHolder.getContext().setAuthentication(authentication);
String token = tokenProvider.createToken(authentication);
  • 前端获取返回的token作为往后接口的Header中Authorization的值,完成整套授权认证

附SecurityConfig文件配置


@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private TokenProvider tokenProvider;
    @Resource
    private CorsFilter corsFilter;
    @Resource
    private JwtAuthenticationEntryPoint authenticationErrorHandler;
    @Resource
    private JwtAccessDeniedHandler jwtAccessDeniedHandler;
    @Resource
    private ApplicationContext applicationContext;

    @Bean
    GrantedAuthorityDefaults grantedAuthorityDefaults() {
        // 去除 ROLE_ 前缀
        return new GrantedAuthorityDefaults("");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        // 密码加密方式
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        // 搜寻匿名标记 url: @AnonymousAccess
        Map<RequestMappingInfo, HandlerMethod> handlerMethodMap = applicationContext.getBean(RequestMappingHandlerMapping.class).getHandlerMethods();
        Set<String> anonymousUrls = new HashSet<>();
        for (Map.Entry<RequestMappingInfo, HandlerMethod> infoEntry : handlerMethodMap.entrySet()) {
            HandlerMethod handlerMethod = infoEntry.getValue();
            AnonymousAccess anonymousAccess = handlerMethod.getMethodAnnotation(AnonymousAccess.class);
            if (null != anonymousAccess) {
                anonymousUrls.addAll(infoEntry.getKey().getPatternsCondition().getPatterns());
            }
        }
        httpSecurity
                // 禁用 CSRF
                .csrf().disable()
                .addFilterBefore(corsFilter, UsernamePasswordAuthenticationFilter.class)
                // 授权异常
                .exceptionHandling()
                .authenticationEntryPoint(authenticationErrorHandler)
                .accessDeniedHandler(jwtAccessDeniedHandler)

                // 防止iframe 造成跨域
                .and()
                .headers()
                .frameOptions()
                .disable()

                // 不创建会话
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)

                .and()
                .authorizeRequests()
                // 静态资源等等
                .antMatchers(
                        HttpMethod.GET,
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/webSocket/**"
                ).permitAll()
                // swagger 文档
                .antMatchers("/swagger-ui.html").permitAll()
                .antMatchers("/swagger-resources/**").permitAll()
                .antMatchers("/webjars/**").permitAll()
                .antMatchers("/*/api-docs").permitAll()
                .antMatchers("/auth/*").permitAll()
                .antMatchers("/test/*").permitAll()
                // 文件
                .antMatchers("/avatar/**").permitAll()
                .antMatchers("/file/**").permitAll()
                // 阿里巴巴 druid
                .antMatchers("/druid/**").permitAll()
                // 放行OPTIONS请求
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                // 自定义匿名访问所有url放行 : 允许匿名和带权限以及登录用户访问
                .antMatchers(anonymousUrls.toArray(new String[0])).permitAll()
                // 所有请求都需要认证
                .anyRequest().authenticated()
                .and().apply(securityConfigurerAdapter());
    }

    private TokenConfigurer securityConfigurerAdapter() {
        return new TokenConfigurer(tokenProvider);
    }
}

模拟登陆

主要是为了小程序、公众号和第三方授权使用

    @GetMapping(value = "/testLogin")
    @ApiOperation(value = "模拟登陆")
    public GeneralResult<JSONObject> testLogin(HttpServletRequest request){
    	//这里可以根据用户id或者username等唯一值获取用户信息
        UserDetails userDetails = userDetailsService.loadUserByUsername("test");
        //生成授权对象,这里密码是不可逆的,所以随便乱输也可以囧
        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(),
                userDetails.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authentication);
        // 生成令牌
        String token = tokenProvider.createToken(authentication);
        final JwtUser jwtUser = (JwtUser) authentication.getPrincipal();
        // 保存在线信息 自有方法,放入到redis缓存中
        onlineUserService.save(jwtUser, token, request);
        // 返回 token 与 用户信息
        JSONObject result = new JSONObject();
        result.put("token", properties.getTokenStartWith() + token);
        result.put("user", jwtUser);
        //判断是否需要单点登陆,如果是单点登录,清除用户其他登录token数据
        onlineUserService.checkLoginOnUser(userDetails.getUsername(), token);
        return getResult(result);
    }
他们叫我小五
关注
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 5800
最近在学习SpringSecurity过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
spring boot+spring security+jwt+vue整合前后端分离token权限认证项目详细过程代码 含AES加密
m0_47576928的博客
07-21 1378
准备前提条件:已搭好一个spring boot后台项目及vue前台项目 目录 一、后台 1、依赖 2、继承WebSecurityConfigurerAdapter适配器 3、自定义用户名密码校验 MyAuthenticationProvider 4、登录成功处理逻辑 CustomizeAuthenticationSuccessHandler 5、登录失败处理逻辑 CustomizeAuthenticationFailureHandler 6、匿名用户访问无权限资源时的异常处理 Customi
mockmvc模拟Spring Security登录用户
花开富贵的博客
10-18 2312
这里写目录标题mockmvc模拟Spring Security登录用户1.1.准备数据:1.1.1.创建模拟用户,并设置默认用户信息1.1.2.为`WithMockCustomUser`指定一个`SecurityContextFactory`1.2.处理数据:1.2.1.添加@WithMockUser注解会去查找默认注册的测试用户1.2.2.如果不想经常在测试中用同一用户,可以试一下每次指定用户信息1.2.3.另外还有一个情况就是,我们可能需要的不止那些固定的用户信息。 mockmvc模拟Spring Se
springboot2.3集成springsecurity实现模拟短信验证码登陆
libiao1994libiao的博客
06-22 706
基本原理:登陆页请求后台生成需要验证的验证码,将验证码和手机号存入session中,同时将验证码发送到手机(这里只是模拟)。真正登陆的时候,先通过自定义的验证输入验证码是否正确的过滤器。然后再执行通过手机号进行认证的filter,provider(都是自定义实现)等,实现认证,登陆系统。 实现 1 创建一个短信验证码的实体,里边存放需要校验的字符串,过期时间,手机号 package com.itgo.springboot.springsecurity.config; import java.time.Lo
Spring Security 整合 JWT
最新发布
Switch
10-08 1124
*** 指定用户登录的访问地址*/@Override// 解析提交的 JSON 数据// 判断用户名、密码是否为空throw new UsernameOrPasswordNullException("用户名或密码不能为空");// 将用户名、密码封装到 Token 中此过滤器继承了 AbstractAuthenticationProcessingFilter ,用于处理 JWT(JSON Web Token)的用户身份验证过程
spring security 代码登录,仿单点登录
Markix的博客
04-30 564
项目需要实现仿单点登录,即用户在系统A登录后,当切换到系统B时,会携带一个token。系统B需要去验证token的有效性,当token有效,则相当于用户在系统B已登录,session各自系统管理。 实现的前提: 由于两个系统的数据库不同,那么需要系统A的用户和系统B的用户需要有一定的关联,比如使用用户名来关联,用户名一样则表示同个用户。这样,当用户在系统A登录后,跳转到系统B,系统B才知道要登录哪...
SpringBoot+SpringSecurity系列二:自定义登录逻辑(模拟版本)
01-06 555
第一步:创建SpringSecurity配置文件 @Configuration public class SpringSecurityConfig { @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } 第二步:自定义UserDetailsService @Service public class MyUserDetailsService i
二、SpringSecurity基础-简单登陆实现
yqx1714768514的博客
01-15 756
1.SpringSecurity介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IOC,DI(控制反转 Inversion of Control, DI:Dependency Injection依赖注入) 和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Spring Boot+Spring Security + JWT + Redis实现登录验证
qq_41158525的博客
07-15 2462
springboot版本:2.4.3 创建项目啥的我就不说了,大家都看这个了,相信创建项目都轻而易举了,直接进入正题; 1:添加JWTSpring Security依赖,多添加一个validation校验和lombok <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
spring security 3.0x remember-me 免登陆
08-03
基于用户,角色,权限的spring_security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995648
java 模仿客户端向spring security base认证发请求
xubaoyong的专栏
09-24 241
使用jersey框架的客户端部分。模拟调用。代码如下 。 package jersey.authbase; import javax.ws.rs.client.Client; import javax.ws.rs.client.ClientBuilder; import javax.ws.rs.core.Response; import org.glassfish.jersey....
springSecurity实现用户登录功能
qq_45880237的博客
02-27 2442
1.导入springSecurity的坐标 <!--spring security 组件--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.创建springSecurity的配置类spring
【已解决】Spring Security 后台直接登录
qq_36154108的博客
06-11 1819
问题: 在 Spring Security 中,无需通过前台 login 页面输入用户名和密码,在后台直接实现登录,获取对应权限。 解决方法 @Autowired protected AuthenticationManager authenticationManager; private void login (HttpServletRequest request, String username, String password) { // 将用户名,密码生成认证可用的Authentic
Day01-基于SpringSecurity实现后台登录功能
DateBegin的博客
08-30 540
一 搭建环境 创建项目 1 新建一个父项目,命名为ego,并修改打包方式。 2 新建一个commons 公共类包mawen项目 3 新建一个后台管理系统spring项目 manage 初始导入springboot lombok mysql等可能用到的包。security暂时先不初始化导入。 4 将commons项目打包,manage项目可以进行依赖。 <!--依赖公共项目commons--> <dependency> <groupId>com.ego.common
Spring Boot + Spring Security 实现自动登录功能
江南一点雨的专栏
04-29 6038
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
spring-security入门3---如何自定义登陆页面(二)
nrsc
06-16 1147
项目源码地址https://github.com/nieandsun/security
2. SpringSecurity 实现登录成功(未用数据库)
Dear_SunJunchen的博客
05-26 295
SpringSecurity 默认会生成一个密码 用户是user我们先用这个用户,做一个基本的登录之后再换成 正常的数据库的用户。
springSecurity整合Jwt并对其校验密码是否正确
06-10
好的,您想要实现Spring Security整合Jwt,并对其进行密码校验。这需要您进行以下步骤: 1. 添加Spring SecurityJwt的依赖。 2. 创建一个Jwt的工具类,用于生成和解析Jwt Token。 3. 创建一个实现了UserDetailsService接口的类,用于根据用户名获取用户信息。 4. 创建一个JwtAuthenticationFilter类,用于校验请求中的Jwt Token,并将用户信息添加到Spring Security的上下文中。 5. 创建一个JwtAuthorizationFilter类,用于校验请求中的Jwt Token,并判断用户是否有访问资源的权限。 6. 在Spring Security的配置类中添加JwtAuthenticationFilter和JwtAuthorizationFilter,并配置相应的拦截规则。 7. 在登录时,使用PasswordEncoder对密码进行加密,并将加密后的密码与数据库中存储的密码进行比对。 8. 在注册时,使用PasswordEncoder对密码进行加密,并将加密后的密码存储到数据库中。 以上是实现Spring Security整合Jwt并对其进行密码校验的基本步骤,您可以根据具体需求进行修改和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值